EDPB: marketeers delen verantwoordelijkheid adverteren op social media

 

Adverteerders die via een social media platform adverteren zijn samen met het social media platform verantwoordelijk voor de verwerking van de persoonsgegevens die worden gebruikt voor de personalisatie van de advertentie. Dat stelt de European Data Protection Board (EDPB) in een recent uitgebrachte Richtlijn. In dit artikel lees je waarom EDPB dit zo ziet en wat dit betekent voor jou als marketeer.

De Algemene Verordening Gegevensbescherming (AVG)  kent twee soorten organisaties: de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke is een organisatie die het doel en middelen van de verwerking van persoonsgegevens bepaalt. Een verwerker is een organisatie die uitsluitend in opdracht van een verwerkingsverantwoordelijke persoonsgegevens verwerkt. Twee (of meer) organisaties kunnen ook gezamenlijk verwerkingsverantwoordelijken zijn. Bij beide soorten organisaties horen verschillende soorten verplichtingen. Als een organisatie noch verwerkingsverantwoordelijke noch verwerker is, is de AVG niet van toepassing.

European Data Protection BoardMaar hoe liggen deze verhoudingen als een adverteerder door middel van gepersonaliseerde advertenties adverteert op een social media platform? Het social media platform bezit in de meeste gevallen de persoonsgegevens aan de hand waarvan advertenties worden gepersonaliseerd. Vervult de adverteerder dan nog een rol overeenkomstig de AVG en is dus de AVG van toepassing op de adverteerder? Hierover heeft de European Data Protection Board (EDPB) een richtlijn geschreven en gepubliceerd 13 april 2021.

De EDPB is een onafhankelijk orgaan van de Europese Unie dat bestaat uit alle voorzitters van alle nationale Europese privacytoezichthouders (waaronder dus ook de Nederlandse Autoriteit Persoonsgegevens). De EDPB heeft officieel geen wetgevende bevoegdheden, maar haar richtlijnen worden vaak als leidend beschouwd door Europese rechters over geschillen over de AVG.

Drie manieren voor verzamelen persoonsgegevensDe persoonsgegevens die worden gebruikt voor het personaliseren van advertenties op een social media platform worden op verschillende manieren verzameld. Dat gebeurt bijvoorbeeld wanneer de betrokkene deze gegevens zelf met het social media platform (of de adverteerder) deelt. Een betrokkene kan bijvoorbeeld zijn leeftijd en geslacht op zijn persoonlijke pagina delen.

Een andere mogelijkheid is dat persoonsgegevens door het platform onttrokken worden op het moment dat een betrokkene gebruik maakt van een dienst of product. Dit gebeurt bijvoorbeeld als content wordt ‘geliket’ op het social media platform zelf, maar kan ook plaatsvinden via websites van derden door middel van een cookie. Dergelijke informatie wordt in principe ook zelf door de betrokkene aan het social media platform of de adverteerder gegeven, maar in dit geval zal de betrokkene zich daar minder/niet bewust van zijn.

Een derde mogelijkheid is het afleiden van persoonsgegevens uit de door de betrokkene verstrekte informatie. Zo kan bijvoorbeeld uit de door de betrokkene bezochte internetpagina’s bepaalde interesses worden afgeleid.

Gedeelde verantwoordelijkheidVolgens de EDPB moet een adverteerder die op een social media platform adverteert worden gezien als gezamenlijk verwerkingsverantwoordelijke met betrekking tot het tonen van de advertentie samen met het social media platform. Het maakt hierbij niet uit of de adverteerder de advertenties personaliseert op basis van eigen verzamelde gegevens of helemaal geen persoonsgegevens inziet. Het is voor de verwerkingsverantwoordelijke namelijk niet noodzakelijk dat deze zelf inzage heeft in de verwerkte persoonsgegevens. Zowel de adverteerder als het social media platform stellen het doel vast (het tonen van gepersonaliseerde advertentie aan een beperkt publiek). Daarnaast hebben beide partijen invloed op de middelen die worden ingezet. De adverteerder bepaalt op basis van welke gegevens de advertentie moet worden gepersonaliseerd en het social media platform bepaalt de manier waarop de persoonsgegevens zijn/worden verzameld.

Dat beide partijen gezamenlijk verwerkingsverantwoordelijke zijn, betekent niet dat beide partijen in dezelfde mate verantwoordelijk zijn voor de verwerking van persoonsgegevens. Dit wordt (mede) bepaald aan de hand van de mate van betrokkenheid aan de verschillende stadia van het proces. Zo zal een adverteerder in verhouding met het social media platform in mindere mate verantwoordelijk zijn voor de door het social media platform verzamelde persoonsgegevens op basis waarvan de advertenties worden gepersonaliseerd.

Gedeelde verplichtingenDat de adverteerder en het social media platform gezamenlijk verwerkingsverantwoordelijken zijn, heeft een aantal gevolgen.

De belangrijkste:

Adverteerder mede-verantwoordelijk voor verkrijgen toestemming. Naast het social media platform moet ook de adverteerder een grondslag hebben voor de verwerking van persoonsgegevens. Het is als adverteerder dus niet mogelijk om deze verantwoordelijkheid volledig bij het social media platform te leggen. Wanneer voor de personalisatie van advertenties slechts persoonsgegevens worden gebruikt die de betrokkene zelf aan het social media platform geeft (eerste variant van de drie hiervoor besproken varianten) kan vaak een beroep worden gedaan op een ‘gerechtvaardigd belang’ (oftewel: opt-out). Maar wanneer onttrokken (d.m.v. bijvoorbeeld cookies) of afgeleide persoonsgegevens (tweede en derde variant) worden gebruikt voor de personalisatie van een advertentie, is toestemming van de betrokkene (oftewel: opt-in) in principe de enige manier om dit te rechtvaardigen. De adverteerder is mede verantwoordelijk voor het verkrijgen van toestemming. Duidelijke taakverdeling afspreken met social media platform. Naast een rechtsgrond, dienen ook afspraken gemaakt te worden over de verdeling van verantwoordelijkheden in een overeenkomst. Hierbij moet bijvoorbeeld worden gedacht aan afspraken over welke partij verzoeken van betrokkenen afhandelt en wie de betrokkenen informeert over de verwerking van persoonsgegevens. Over het algemeen ligt het voor de hand om deze verantwoordelijkheden bij het social media platform te leggen, maar dit kan anders zijn als de adverteerder ook eigen verzamelde persoonsgegevens inbrengt om de advertenties te personaliseren. Deze afspraken dienen kenbaar te worden gemaakt aan de betrokkenen (d.m.v. een privacy statement). Indien het als adverteerder niet mogelijk is om met een social media platform te onderhandelen (‘take it or leave it’) over een dergelijke overeenkomst, is het goed om te beseffen dat hier risico’s aan verbonden zijn. Zoals de mogelijkheid dat de Autoriteit Persoonsgegevens de adverteerder in het geval van het ontbreken van een grondslag voor het tonen van een gepersonaliseerde advertentie hiervoor deels aansprakelijk houdt.

Wat moet je nu doen?Een aantal tips:

Onderzoek of je als adverteerder verantwoordelijk bent voor het verkrijgen van toestemming. Leg afspraken over wie verantwoordelijk is voor het afhandelen van verzoeken van betrokkenen vast in een overeenkomst met het social media platform. Communiceer over het adverteren via social media en de verdeling van rollen in je privacy statement.

Heb je vragen over dit onderwerp, neem dan contact op met de Werkgroep Privacy via [email protected].

 

Gerelateerde artikelen

RichtlijnenOndernemerschap

Influencerregels

Influencers hebben te maken met veel verschillende regels. Daarom is het lastig om te bepalen wat je in een specifieke situatie moet doen. Op deze website leggen we de regels over transparantie en reclame per kanaal daarom in simpele taal aan je uit. Naar de website Certificaat De certificering van influencerregels.com biedt influencers de mogelijkheid om hun kennis en begrip van de regels en wetten rondom influencer marketing te vergroten. Door deel te nemen aan een speciale e-learning en het certificaat te behalen, tonen influencers niet alleen hun toewijding aan professionaliteit, maar versterken ze ook het vertrouwen van hun volgers en (toekomstige) adverteerders. Alle gecertificeerde influencers komen terecht in het register van influencerregels.com. Waarom een certificaat? Het vakgebied influencer marketing heeft de laatste jaren flinke sprongen gemaakt en is serieuzer geworden. Dat heeft geleid tot nieuwe regels, zoals die over het aankondigen van betaalde samenwerkingen. Als content creator is het belangrijk om bij te blijven, anders loop je het risico op boetes en waarschuwingen. Het certificaat laat zien dat je op de hoogte bent van alle regels. Samengevat geniet je van de volgende voordelen: Je bent op de hoogte van het laatste wet- en regelgeving en weet wat je wél en niet moet doen bij het kenbaar maken van een betaalde samenwerking Je voorkomt boetes en waarschuwingen Je draagt bij aan het beschermen van de consument Je krijgt een positief imago wat kan leiden tot meer aanbiedingen en samenwerkingen vanuit merken Je draagt bij aan het imago van het vakgebied, en de toekomstbestendigheid van het kanaal, met minder beperkende wetgeving  Certificaat

Lees verder

OnderzoekInnovatie

Digital Ad Spend Study 2023

De digital-advertisingbestedingen zijn in 2023 met 5 procent gegroeid. In totaal besteedden adverteerders ruim 3,7 miljard euro aan digitale advertenties. Dat zien we terug in de jaarlijkse Digital Ad Spend Study.

Lees verder

ArtikelData, Tech & Legal

Autoriteit Persoonsgegevens gaat strenger toezicht houden

De Autoriteit Persoonsgegevens (AP) heeft met een brief aan de VIA aangekondigd in 2024 strenger toezicht te houden. Eerder al uitte het kabinet haar zorgen over het gebruik van cookies en online tracking, waardoor een extra budget van 500.000 euro per jaar aan de AP werd toegewezen voor het toezicht hierop. Dit extra budget zal de AP gebruiken om vaker te controleren of organisaties op de juiste manier toestemming vragen voor het plaatsen van onder andere tracking cookies. De AP heeft vuistregels op haar website gepubliceerd met uitleg hoe organisaties hun cookiebanner moeten inrichten en toestemming voor het plaatsen van tracking cookies gevraagd moet worden. De AP heeft deze brief naar de VIA gestuurd met het verzoek om de inhoud ervan onder de aandacht te brengen bij onze leden. Het is van belang dat jij, als lid van de VIA, hiervan op de hoogte bent. Zodat er nu de mogelijkheid is om eventuele aanpassingen uit te voeren. – Saskia Baneke-Delfgaauw, VIA-directeur Lees hieronder de brief van het AP. Via deze mail houden we onze leden op de hoogte van belangrijke juridische ontwikkelingen. Als contactpersoon van jouw organisatie vragen we je om deze e-mail door te sturen naar degenen binnen de organisatie voor wie deze updates van belang zijn. Alvast bedankt! Mochten er vragen zijn of hebben jullie hulp nodig, neem dan contact op met Saskia Baneke, [email protected] of Guido Grevink [email protected] Relevante links:Autoriteit Persoonsgegevens publiceert richtlijnen voor het opstellen van een correcte cookiebannerHeldere en misleidende cookiebanners | Autoriteit PersoonsgegevensLegal Digital Advertising Checklist VERSTERKT TOEZICHT OP TRACKING TECHNOLOGIEËN EN NORMUITLEG RONDOM COOKIES De Autoriteit Persoonsgegevens (AP) gaat vanaf dit jaar vaker controleren of websites op de juiste manier toestemming vragen voor het vragen van (tracking) cookies en andere volgsoftware. In de praktijk komt het namelijk regelmatig voor dat er misleidende cookiebanners worden gebruikt, waardoor de toestemming voor de verwerking van persoonsgegevens niet juist wordt verkregen. De AP wijst u middels deze brief graag op de normuitleg die de AP hier recent over heeft uitgebracht. Cookies en de AVGBij het gebruik van tracking cookies of vergelijkbare technieken kan ervan uit worden gegaan dat er persoonsgegevens worden verwerkt. Dit geldt ook voor sommige functionele en beperkte analytische cookies. Aangezien het gaat om een verwerking van persoonsgegevens moet er ook worden voldaan aan de Algemene verordening gegevensbescherming (AVG). Belang van een heldere cookiebannerDoor middel van tracking technologieën kunnen organisaties meekijken met het internetgedrag van hun websitebezoekers. Echter, dit is alleen toegestaan als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de optie hebben om cookies te weigeren, zonder nadelige gevolgen. Door het inzetten van een heldere cookiebanner kunnen websitebezoekers een weloverwogen keuze maken om wel of geen toestemming te geven. AP normuitlegNaast het versterkte toezicht brengt de AP ook normuitleg uit, zodat organisaties aan de hand van praktische regels kunnen voldoen aan de wettelijke vereisten met betrekking tot (tracking) cookies en andere technologieën. Inmiddels heeft de AP twee uitgebracht: normuitleg voor het maken van een heldere cookiebanner en normuitleg voor het intrekken van toestemming bij cookies. Voor verdere uitleg en voorbeelden verwijzen we u graag naar onze website. De volgende vuistregels helpen bij het opstellen van een correcte cookiebanner: Geef informatie over het doel; Zet vinkjes niet automatisch aan; Gebruik duidelijke tekst; Zet verschillende keuzes op één laag; Verberg bepaalde keuzes niet; Laat iemand niet extra klikken; Gebruik geen onopvallende link in de tekst; Wees helder over het intrekken van toestemming; Verwar toestemming niet met gerechtvaardigd belang. De volgende regels verduidelijken waaraan voldaan moet worden bij intrekken van toestemming bij cookies: Toestemming intrekken moet op ieder moment kunnen; Toestemming intrekken moet net zo gemakkelijk zijn als het aangeven; Toestemming intrekken mag geen nadelige gevolgen hebben voor uw websitebezoekers; Geef informatie over hoe websitebezoekers toestemming kunnen intrekken vóórdat zij toestemming geven; Zorg voor een vindbare plek voor het intrekken van toestemming; Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken.

Lees verder